ファイル管理にディレクトリトラバーサル
日付: 2023年4月25日
CVE ID: CVE-2023-29200
バックエンドで認証済みのユーザーはファイル管理のドキュメントルート外のファイルを一覧できます。しかし、これらのファイルの内容を読むことはできません。
この脆弱性の報告していただいたDaniel Barros氏に感謝します。
影響のあるバージョン
- Contao 4.0
- Contao 4.1
- Contao 4.2
- Contao 4.3
- Contao 4.4
- Contao 4.5
- Contao 4.6
- Contao 4.7
- Contao 4.8
- Contao 4.9からContao 4.9.39まで
- Contao 4.10
- Contao 4.11
- Contao 4.12
- Contao 4.13から4.13.20まで
- Contao 5.0
- Contao 5.1から5.1.3まで
推奨する解決方法
Contao 4.9.40、4.3.21、5.1.4に更新してください。
さらに詳しい情報
https://github.com/contao/contao/security/advisories/GHSA-fp7q-xhhw-6rj3